-
Неудаляемый вирус
На только что поставленную систему попала бацила и никак не могу от нее избавиться! Не лечит ни что. Стоит антивирь Аваст, дополнительно сканил Cureit!, AVZ, AVPTool. Находят куски вируса, но после перезагрузки все встает "на свои места".
Нашел следующие "левые" файлы:
В C:\Documents and Settings\Evgeniy\Local Settings\Temporary Internet Files появляются tbf.exe, irc2.exe и clc.exe
в свойствах источники:
[I]//[/I]208.53.183.4/tbf.exe
[I]//[/I]208.53.183.222/clc.exe
[I]//[/I]74.63.78.41/clc.exe
[I]//[/I]208.53.183.113/tbf.exe
[I]//[/I]208.53.183.124/irc2.exe
[I]//[/I]208.53.183.46/clc.exe
В C:\Documents and Settings\All Users\Application Data\
B7B394A5D2.sys
KGyGaAvL.sys
C:\Temp (цифры).exe
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Z23MUDYV\t[1].exe
C:\WINDOWS\system32 (31,37,83...).exe
C:\RECYCLER\S-1-5-21-***
C:\System Volume Information\_restore(***)\RP*\A***.exe (много)
В реестре, создаются записи:
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\ | C:\WINDOWS\cfdrive32.exe
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\ | C:\WINDOWS\system32\msvmiode.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ | MSODESNV7 | "C:\WINDOWS\system32\msvmiode.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ | Microsoft Driver Setup | "C:\WINDOWS\cfdrive32.exe"
HKUS\S-1-5-21-484763869-515967899-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache\ | C:\WINDOWS\cfdrive32.exe
HKUS\S-1-5-21-484763869-515967899-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache\ | C:\WINDOWS\system32\msvmiode.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = C:\RECYCLER\S-1-5-21-7488701346-1188046656-398411520-5884\syscr.exe,explorer.exe,C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe
Даже после удаления всех этих файлов и закрытия процессов непрерывно создается
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ | Shell | "C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ | Taskman | "C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe"
HKUS\S-1-5-21-484763869-515967899-1801674531-1003\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ | Shell | "C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe"
Как бы вычислить что их создает?...
При втыкании флешки создаётся E:\myfolder\myfile.exe и autorun.inf
cfdrive32.exe через несколько минут забивает буфер из-за чего не
запускается практически ни одна программа. Благо, легко срубается.
Это то, что я нашел. После чистки и перезагрузки все создается заново.
Могу выложить архив с этими вирусами.
Никакое из выполненных лечений не помогло. Бьюсь уже 4-й день!
-
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\24.exe','');
QuarantineFile('C:\WINDOWS\system32\07.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6172728916-6777806001-908315887-8694\syscr.exe,C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe,explorer.exe,c:\documents and settings\evgeniy\doctorweb\quarantine\ltzqai.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6172728916-6777806001-908315887-8694\syscr.exe','');
QuarantineFile('c:\documents and settings\evgeniy\doctorweb\quarantine\ltzqai.exe','');
QuarantineFile('C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe','');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
QuarantineFile('c:\windows\system32\msvmiode.exe','');
DeleteFile('c:\windows\system32\msvmiode.exe');
DeleteFile('C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6172728916-6777806001-908315887-8694\syscr.exe,C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe,explorer.exe,c:\documents and settings\evgeniy\doctorweb\quarantine\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6172728916-6777806001-908315887-8694\syscr.exe');
DeleteFile('c:\documents and settings\evgeniy\doctorweb\quarantine\ltzqai.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
DeleteFile('E:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\07.exe');
DeleteFile('C:\WINDOWS\system32\24.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL]
Page generated in 0.00464 seconds with 10 queries